IT-Infrastrukturen effektiv schützen: Relevante Vorschriften im Blick
Das Compliance-Werkzeug "Rechtskataster-Online" unterstützt KRITIS-Betreiber der Energiewirtschaft bei der Optimierung ihrer IT-Sicherheit. Um IT-Infrastrukturen vor Cyberangriffen zu schützen, müssen die Betreiber Systeme zur Angriffserkennung (SzA) implementieren und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig Nachweise über IT-Sicherheitsmaßnahmen erbringen. Um für genau diese Nachweise stets alle relevanten Gesetze und Vorschriften automatisch im Blick zu haben, nutzen viele KRITIS-Betreiber das cloudbasierte "Rechtskataster-Online". Es fasst für die Rechtsbereiche Energie-, Umwelt- und Arbeitsschutzmanagement sowie Datenschutz die rechtlichen Anforderungen zusammen und ermöglicht es, deren Einhaltung zu überprüfen und zu dokumentieren.
Die besonderen Pflichten für die IT-Sicherheit sind in § 8a BSIG festgelegt. Darin ist geregelt, dass Betreiber Kritischer Infrastruktur verpflichtet sind, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen in der von ihnen betriebenen Infrastrukturen zu vermeiden. Dabei ist der gesetzlich definierte „Stand der Technik“ zu beachten. Die Vorkehrungen gelten als angemessen, wenn der Aufwand im Hinblick auf die Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Infrastruktur verhältnismäßig ist. Oberste Priorität hat dabei immer, dass die Bevölkerung versorgt bleibt.
Regelmäßige Nachweispflicht
KRITIS-Betreiber mussten die SzA bereits Ende Mai 2023 nachweisen. Die IT-Sicherheitsmaßnahmen in ihren Anlagen und Systemen müssen sie nun alle zwei Jahre beim BSI belegen. Hierzu existieren Meldepflichten gegenüber dem Bundesamt für Informationssicherheit. Das Bundesamt kann Kontrollen durchführen und Verstöße mit Bußgeldern ahnden. Um für einen erneuten Nachweis alle relevanten Gesetze und Vorschriften automatisch im Blick zu haben, nutzen bereits viele KRITIS-Betreiber ein Rechtkataster. Das Compliance-Werkzeug „Rechtskataster-Online“ fasst für die Rechtsbereiche Energie-, Umwelt- und Arbeitsschutz-management sowie Datenschutz die rechtlichen Anforderungen zusammen.
Zertifizierung nach 27001
Das BSIG verweist zwar nicht explizit auf eine Zertifizierung nach ISO 27001, jedoch kann diese unter bestimmten Voraussetzungen ein wesentlicher „Bestandteil eines Nachweises“ gemäß § 8a Absatz 3 sein. Die alleinige Vorlage eines solchen Zertifikates reicht allerdings als Nachweis nicht aus. „Wer bei Rechtskataster-Online die Rechtsbereiche Energie und Datenschutz bucht, erhält die für die Zertifizierung relevanten Gesetze und Vorschriften im Überblick. Sie können nachverfolgt, bewertet und je nach Relevanz in das unternehmenseigene Rechtskataster übernommen werden, um letztlich die im Gesetz geforderten‚ angemessenen und organisatorischen Vorkehrungen zu erfüllen“, sagt Johann Breiter, Fachverantwortlicher Rechtskataster-Online bei der SR Managementberatung.
Internationalisierung des Cybersicherheitsrechts: NIS-2-Richtlinie
Eine Regelung, die demnächst Auswirkungen auf das BSIG haben wird, ist die NIS-2-Richtlinie (Network Information Security). Diese gilt EU-weit als übergeordnete Rechtsgrundlage und muss bis spätestens Mitte Oktober 2024 in nationales Recht umgesetzt sein. Die NIS-2-Richtlinie ist bereits im Rechtskataster eingepflegt. Sie zielt darauf ab, ein gleichmäßig hohes Sicherheitsniveau in kritischen Infrastrukturen in der gesamten Europäischen Union zu gewährleisten und legt Mindestanforderungen für die Sicherheit von kritischen Infrastrukturen, digitalen Diensten und Online-Plattformen fest. Die strengeren Vorgaben in Bezug auf Cybersicherheit treffen dann auch Firmen ab 50 Mitarbeitern oder einem Jahresumsatz ab zehn Millionen Euro.
Mit der Umsetzung werden voraussichtlich Anpassungen am BSIG vorgenommen, um die neuen Anforderungen und Bestimmungen zu berücksichtigen. „Genau vor diesem Hintergrund ist es wichtig, mit einem Rechtskataster alle relevanten Änderungen stets im Blick zu haben. Damit wird nicht nur die Resilienz gegenüber Cyberbedrohungen gestärkt, sondern auch eine zukunftsorientierte Sicherheitsstrategie gefördert“, fügt Johann Breiter abschließend hinzu.
Über Rechtskataster-Online
Rechtskataster-Online ist ein Projekt der SR Managementberatung GmbH und der ITC AG. Anwender können unternehmensrelevante Vorschriften aus den Rechtsbereichen Energie, Umwelt, Arbeitsschutz und Datenschutz ermitteln, bewerten und deren Einhaltung dokumentieren. https://www.rechtskataster-online.de/
Über die SR Managementberatung
Die SR Managementberatung GmbH bietet individuelle modulare Dienstleistungen in den Bereichen Managementsysteme und Prozessmanagement. Die Kernbereiche umfassen das Energiemanagement, Umweltmanagement, Qualitätsmanagement, Datenschutz und den Arbeits- und Gesundheitsschutz. https://sr-managementberatung.de
Bild: ©iStockphoto.com/Who_I_am | ITC AG 2023